none
TMG: interne Webseiten extern via https erreichbar, intern nur http RRS feed

  • Frage

  • Guten Morgen,

    ich habe vor einigen Wochen einen ISA 2006 Server durch einen TMG 2010 Server abgelöst. Es wurde nicht migriert, sondern neu konfiguriert. TMG ist als Edge-Firewall eingerichtet.

    Es gibt interne Webseiten, die per https von extern erreicht werden sollen. Das funktioniert auch wunderbar. Eine zweite Regel erlaubt den Zugriff auf die Webseiten über http im internen Netzwerk.

    Nun zum Problem:

    Die internen Webseiten sind problemlos über https von extern erreichbar. Intern funktioniert der Zugriff allerdings ausschließlich über http. Stelle ich bei den Clients den TMG Server als Proxy im Browser ein, werden die internen Webseiten im internen Netzwek auch über https erreicht.

    1) Warum funktioniert der interne Zugriff über https nicht?

    2) Warum musste ich eine Regel erstellen, die den internen Zugriff über http erlaubt? Anscheinend wird der interne Traffic auch über den TMG Server gefiltert. Ist das korrekt? Aufgrund dessen habe ich eine Regel erstellt, die den gesamten ausgehenden Verkehr von intern nach intern zulässt. Die interne http Regel ist alledings immer noch notwendig. Was läuft da schief?

    Donnerstag, 16. September 2010 08:31

Antworten

  • Eigene Blödheit. Ist eine DNS-Geschichte. Es besteht ein Alias (Domänen-DNS) für "intern.firmendomain.de" auf den internen Webserver. Dort ist https für die Webseiten allerdings nicht konfiguriert. Von extern funktioniert der Zugriff dann natürlich, da TMG die Anfrage zum Webserver auf Port 80 durchschleift. Intern wird beim Aufrufen von "intern.firmendomain.de" über https dann natürlich der interne Webserver auf Port 443 abgefragt auf dem logischerweise nichts antwortet.

    Trotzdem danke für die nette Hilfe :)

    • Als Antwort markiert malhol Montag, 20. September 2010 12:40
    Donnerstag, 16. September 2010 09:41

Alle Antworten

  • Hi,

    dann hast Du ein Problem mit den Einstellungen der internen Netzwerkbereiche. Wenn Du von einem internen Client interne Ressourcen erreichen willst, geht das gar nicht ueber den TMG.
    Du musst also mal schauen, ob im TMG die IP-Adressbereiche des Netzwerks Intern korrekt konfiguriert sind und in den Webproxy Einstellungen am TMG der direkte Zugriff korrekt konfiguriert ist.
    Schau mal:
    http://www.isaserver.org/articles/2004directaccessp1.html (Gilt auch noch fuer TMG)


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Donnerstag, 16. September 2010 08:37
    Moderator
  • moin,

    deine internen websites sind von intern auch per https erreichbar, wenn du dort https anbietest. ansonsten müsstest du wirklich über den tmg auf die sites zugreifen, was ich aber vermeiden würde.

    ich würde interne ressourcen nicht über deinen edge-proxy erreichbar machen, sondern einfach mit browser-ausnahmen arbeiten, dann greifen deine internen clients direkt auf die ziele zu. dann kannst du auch deine von intern nach intern regel killen.

    möchtest du dort dann auch https haben, dann wie oben erwähnt auf dem webserver einschalten (vorher zertifikat besorgen).

     


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Donnerstag, 16. September 2010 08:39
  • Danke für die schnellen Antworten!

    Die internen Netzwerkbereiche sind korrekt konfiguriert. Den Proxy möchte ich eigentlich gar nicht nutzen. Außerdem habe ich die TMG-Clients nicht im Einsatz.

    Leuchtet alles ein, aber ich frage mich noch, warum die Webseiten, die von extern bspw. über https://intern.firmendomain.de von extern erreichbar sind, nicht über die selbe URL von intern erreichbar sind.

    • Bearbeitet malhol Donnerstag, 16. September 2010 09:43
    Donnerstag, 16. September 2010 09:24
  • Eigene Blödheit. Ist eine DNS-Geschichte. Es besteht ein Alias (Domänen-DNS) für "intern.firmendomain.de" auf den internen Webserver. Dort ist https für die Webseiten allerdings nicht konfiguriert. Von extern funktioniert der Zugriff dann natürlich, da TMG die Anfrage zum Webserver auf Port 80 durchschleift. Intern wird beim Aufrufen von "intern.firmendomain.de" über https dann natürlich der interne Webserver auf Port 443 abgefragt auf dem logischerweise nichts antwortet.

    Trotzdem danke für die nette Hilfe :)

    • Als Antwort markiert malhol Montag, 20. September 2010 12:40
    Donnerstag, 16. September 2010 09:41
  • ah - split dns im einsatz!

    ;-)

    aber erst durch den tmg raus um dann wieder über ihn reinzukommen ist eh keine gute idee.

    pack doch einfach dein öffentliches zertifikat mit auf deinen webserver und dann funzt auch intern der zugriff via https auf den webserver!


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Donnerstag, 16. September 2010 10:36